Minulle (yhdessä noin miljardin muun ihmisen kanssa) ilmoitettiin Yahoo! eilen mahdollisesti vaarantunut tili. Vaikka en ole siitä huolissani (olen vaihtanut salasanani sen jälkeen, minulla on hyvin pitkä ja monimutkainen salasana, enkä käytä sitä uudestaan), he käyttivät aikaa huomauttaa Yahoo-tilin avain -ominaisuus. Tämä on ominaisuus, jossa sisäänkirjautumisen yhteydessä se lähettää ilmoituksen Yahoo! sovelluksen matkapuhelimellasi, ja sinun on hyväksyttävä se, ennen kuin kirjautumista voidaan jatkaa.
Sinun ei enää tarvitse muistaa monimutkaisia salasanoja, kun käytät Yahoo-ohjelmaa. Tiliavain tilin käyttämiseksi. Kirjaudu sisään napauttamalla matkapuhelimeesi lähetettävässä ilmoituksessa ”Kyllä”. Kun tiliavain on käytössä, tililläsi ei ole salasanaa, joten kukaan muu kuin sinä voit kirjautua sisään.
Tämä näyttää samanlaiselta kuin Google TFA -vaihtoehto, Google Prompt, joka on varmasti parempi kuin pelkkä yksitekijäinen todennus. Mutta ero on siinä, että vaikka Google vaatii salasanan JA kehotteen, Yahoo ei vaadi salasanaa: joten kyseessä on yksivaiheinen todennus, vain erilainen tekijä.
Kuinka turvallista tämä on verrattuna hyvä, monimutkainen, pitkä, koskaan uudelleen käytetty salasana? Onko olemassa tunnettuja menetelmiä kännykän ilmoitusten kumoamiseksi, jotka voivat vaikuttaa jotain tällaista?
Minulla on iOS-laite, jossa on iOS-varasto, mutta olen tyytyväinen vastauksiin, jotka sisältävät tietoja muiden puhelinten riskeistä puhelimet / tilanteet (vaikka haluaisin mieluiten skenaarioni). Minulla on myös Yahoo! Google-tiliini yhdistetty tili (joka on suojattu 2FA: lla Google Promptin avulla) ja varmuuskopioi puhelimeni iCloudiin. Minulla on siinä kuusinumeroinen salasana ja sormenjälkitunnistus. En ole erityisen huolissani kohdennetusta hyökkäyksestä (minulla ei ole mitään erityistä syytä pelätä sitä, en tunne ketään, joka on riittävän ammattitaitoinen tekemään jotain tällaista, eikä minulla ole tarpeeksi arvokasta tietoa tai rahaa kohdistamisen arvoiseksi); tämä koskee ensisijaisesti hyökkäyksiä jotka ovat luonteeltaan yleisiä.
En ole huolissani näiden toimintatapojen eron ymmärtämisestä. Minulla on hyvä käsitys molemmista. Keskityn tässä yrittääkseni verrata riskejä; vaikka ymmärrän hyvin salasanat ja 1FA: n salasanoihin liittyvät riskit, minulla ei ole hyvää käsitystä 1FA: n mobiili-ilmoituksiin liittyvistä riskeistä ja siitä, miten tasapainottavat molemmat.
Kommentit
- Kysytkö, kuinka turvallista tämä olisi teoriassa tai kuinka turvallinen toteutus voisi olla ottaen huomioon kaikki Yahoo-turvallisuusongelmat oli menneisyydessä? Tarkoitan, että salasanat voidaan myös tallentaa turvallisesti, eivätkä he tehneet sitä.
- Kysyn käyttäjänä, pitäisikö minun käyttää tätä tavalliseen salasanaani verrattuna. Joten luulen, että jokin niistä?
- Tämän ominaisuuden avulla turvallisuus riippuu täysin puhelimesi turvallisuudesta. Kuinka paljon luotat itseesi siihen, että kenelläkään ei ole koskaan pääsyä lukitsemattomaan puhelimeesi ja että puhelimeen ei asenneta haittaohjelmia?
- @SteffenUllrich – erinomainen näkökohta puhelimen turvallisuuteen. Se on tärkeä näkökohta. Päivitin vastaukseni kommenttisi mukaan.
Vastaa
Kuten huomautit, tämä ei ole TFA . Se tarjoaa yksinkertaisesti 2 eri tapaa käyttää tiliäsi. Voit valita, miten tunnet olevasi turvallisempi tilanteellesi: salasana tai fyysinen laite (kuten puhelin).
Salasanan edut: Kukaan ei saa koskaan päästä käsiksi tilillesi annettujen kirjautumismekanismien kautta tietämättä salasanaasi. Jos salasanasi on riittävän pitkä ja monimutkainen, jotta se voidaan arvata vain raakan voiman avulla, vaikka Yahoo olisi hakkeroitu ja salasanan hajautus varastettaisiin, on erittäin epätodennäköistä, että salasanasi hakkeroitaisiin ennen kuin sinulle ilmoitetaan, että sinun on muuta sitä.
Salasanan haitat: Salasanasi saattaa vaarantua tietämättäsi sitä. Näin voi tapahtua esimerkiksi, jos syötät salasanasi vaarantuneelta tietokoneelta (näppäinlukija) tai kun käytät vaarantunutta verkkoa (MITM-hyökkäys) ja satut napsauttamaan selaimen varoitusta virheellisestä varmenteesta. Toinen (käytettävyys, ei tietoturva) haitta on, että salasanasi on pitkä ja monimutkainen, on ärsyttävää antaa se manuaalisesti tietokoneelle, johon salasananhallintaasi ei ole asennettu.
Laitteen edut: Joku tarvitsee fyysisen pääsyn laitteeseesi kirjautumiseen. (Tai heidän on kyettävä tekemään se, mitä tekisit, jos kadotit laitteen: nollaa salasanasi pääsyllä sähköpostiisi ja mahdollisesti pystyä vastaamaan sinuun liittyviin turvallisuuskysymyksiin).Jos sinulla on laitteesi, voit olla varma, ettei kukaan käytä Yahoo-tiliäsi.
Laitteen haitat: Jos joku saa pääsyn laitteeseesi, hän voi helposti käyttää tiliäsi. Lisäksi, jos kadotat tai asetat väärin laitteen, et voi käyttää tiliäsi, ennen kuin sinulla on laitteesi uudelleen, tai joudut palauttamaan tilisi palauttamalla.
Mikä on parempi tilanteessasi joitain huomioitavia asioita:
- Käytätkö usein julkisia tai jaettuja tietokoneita? Sitten nojaisin kohti tiliavainta.
- Onko laite usein lukitsematta vai käytetäänkö heikkoa suojausalgoritmia (helppo malli, helppo 4-numeroinen salasana)? Sitten ehkä nojaa kohti vahvaa salasanaa.
- Onko muilla ihmisillä pääsy puhelimeesi, jota et halua käyttää tiliäsi? Käytä sitten ehdottomasti salasanaa.
Tämä usein kysytyt kysymykset -sivu vastaa kysymyksiin tilin palauttamisesta / palauttamisesta.
Kommentit
- Se ’ ei ole minulle selvää, että salasanan todennustapa olisi edelleen olemassa – Yahoo näyttää viittaavan siihen, että salasana poistettaisiin. Ja ymmärrän mielestäni minulla on hyvä käsitys siitä, kuinka riskialtista 1FA on salasanoilla; kysymykselläni yritetään selvittää, kuinka riskialtista 1FA on matkapuhelinilmoituksilla, koska en vain tiedä paljon siitä, kuinka helppoa on ’ hakkeroida ’.
- @joe – olen kanssasi samaa mieltä. div id = ”32b74faa51”>
olen päivittänyt vastaukseni.